Комментарии 101
Те, кто знает формат uue сразу заподозрит неладное. Так же, как и с base64.
Разница даже больше.
Теперь нам нужны данные по возрасту. И они у нас есть! Не конкретно по России, но есть. Вот здесь в исследовании участника Хабра приведена возрастная статистика StackOverflow
habr.com/ru/post/121830
А здесь сырые данные, на которых базируется исследование (линк из статьи)
spreadsheets.google.com/a/knego.net/spreadsheet/ccc?pli=1&hl=en_GB&key=tMbiortRI3It3qCitDBZEvA&hl=en_GB#gid=2
90-летних айтишников в количестве 34 штук отбрасываем как нерелевантную величину. Скорее всего это те, кто не захотел указывать свой возраст. Далее просто суммируем возраст из таблицы до 36 лет и после 36 лет. Получаем:
— количество участников младше 36 лет — 35929
— количество участников старше 36 лет — 1185
Разница, соответственно, в 30.31 раза. Т.е. меньше чем на два порядка. Да, много, но ни о какой разнице в сотни, а тем более тысячи и более (как вы удтверждаете) раз речь не идет.
Разница соответственно в 30.31 раза. Т.е. меньше чем на два порядка. Да, много, но ни о какой разнице в сотни, а тем более тысячи и более (как вы удтверждаете) раз речь не идет.Так это при том, что вы заменили исходное «знает uue» на ваше «знает о uue» :)
Я вот о uue в общем-то знаю, и помню, что лет 15 назад что-то ююками получал и как-то их раскодировал. Но вот какие там допустимы символы — понятия не имею. В то же время с base64 все проще: буквы + цифры — это 62 символа. Даже с учетом того, что я опять же не помню все вариации base64 и то, какие именно там символы допустимы, все равно легко можно понять, что если в строке более двух других символов (помимо буквоцифр), то это не base64.
ак это при том, что вы заменили исходное «знает uue» на ваше «знает о uue» :)
Я, вероятно, не совсем понятно сформулировал. Под «Знает UUE» я понимаю, что человек знает о таком способе кодировки и понимает, что под внешне непонятной абракадаброй кроется что-то осмысленное. Не конкретные детали стандарта UUE, а, что если такой человек видит абракадабру и рядом буквы UUE, то у него возникнет идея, что это что-то в UUE кодировке, и это надо раскодировать. Если же человек не имеет представления о UUE, то скрытом за абаракадаброй значении он не подозревает, и далее все будет развиваться по запланированному автором статьи сценарию. Поскольку в ФИДО UUE было основным способом передачи бинарников через сообщения, я сделал допущение, что те, кто там был, о UUE точно знают, а те кто там не был, вероятно не знают. Далее я просто посмотрел распределение тех, кто был по возрасту в ФИДО, и кого там не было. Соотвественно получилось соотношение количества тех, кто не поймет, в чем тут подвох, к количеству тех, кто поймет, в чем тут дело.
человек знает о таком способе кодировки и понимает, что под внешне непонятной абракадаброй кроется что-то осмысленное. Не конкретные детали стандарта UUEТак в статье ровно про это и написано :) Что если человек не знает детали стандарта, то он не увидит, что на самом деле это вовсе не uue, и ничего осмысленного (для uuencode) там нет. То есть он как раз и не поймет, в чем тут подвох, если деталей стандарта не знает :)
Да там стандарта-то полстраницы стандартного машинного текста! Помню, когда ещё не появились автопарсеры UUE-эх, писал на паскале собственный парсер, собирающий файлы из пронумерованных сообщений (объединял по сабжу, не обрабатывал возможные дупы и неправильную сортировку, зато обрабатывал — отбрасывал — ответы на сообщения). Примерно такой же base64, только с более широким словарём (или "букварём"?), и уж мягкого апострофа там точно быть ну никак не может ;-)
` там вполне есть: en.wikipedia.org/wiki/Uuencoding#uuencode_table
2:5030/36.20, 2:5030/435
У меня, например, не было ни телефона, ни компьютера в те времена.
А когда всё это появилось (2001 год), то был уже модемный интернет.
90-летних айтишников в количестве 34 штук отбрасываем как нерелевантную величину. Скорее всего это те, кто не захотел указывать свой возраст.
У меня есть знакомый айтишник-железячник 70 с лишним лет от роду.
И он все еще продолжает активно работать.
В свое время он был молодым специалистом и у него были наставники из предыдущего поколения :)
Далее просто суммируем возраст из таблицы до 36 лет и после 36 лет.Возраст сам по себе не показатель.
Я вот во второй категории, почти 40, но о ФИДО только слышал, в живую никогда не видел.
И из моих знакомых ровесников лично ни от кого не слышал, чтобы он пользовался ФИДО.
Соответственно тем, кому в 2000 было 15 лет, сегодня 36 лет и более, и они знают о UUE, те кто младше, не знают.
Мне в 2000 было 14 лет. И из моих одноклассников компьютеры были у 3 человек из 30, не говоря уж про интернет. Его тогда не было у большинства из тех, у кого были компьютеры. Так что ваш результат можно спокойно умножать на 30, не погрешив против истины. Потому что в те годы компьютер был роскошью, и чисто по возрасту считать некорректно.
В целом, для ФИДО желательна была всё-таки линия связи (впрочем, без неё тоже можно было, но уже в формате извращений), а с телефонными линиями тогда тоже были проблемы.
Это сейчас за день придут Интернет подключат, а тогда годами ждали очереди на подвод телефонной линии от АТСки, и хорошо если она была не блокированная с соседями по площадке (которые тоже стояли в очереди).
тогда годами ждали очереди на подвод телефонной линии от АТСки
Было дело, у меня родители около 10 лет стояли в очередь на телефон. Причём подключали его платно и стоило это довольно дорого (что-то порядка нескольких месячных зарплат).
Я к тому, что надо не только популяцию считать, но и учитывать крайне низкое проникновение компьютерных технологий в то время. Доступность сильно возросла где-то к 2005 году, но тогда уже были в моде ICQ, веб-чаты, форумы.
В целом, для ФИДО желательна была всё-таки линия связи
Для интернета тогда тоже нужна была линия связи. Интернет у подавляющего большинства в около 2000 годах был диалап
Для начала определимся с возрастом. В 1999 году в Москве еще было полно реально работающих нод, а к 2010 я о них уже не слышал. Далее волюнтаристки возьмем нижний возраст в 15 лет
И они у нас есть! Не конкретно по России, но есть. Вот здесь в исследовании участника Хабра приведена возрастная статистика StackOverflow
habr.com/ru/post/121830
Вот только ФИДО в России появилось позже, чем зарубежом. И история немного отличается из-за факторов более серьезного отношения к легальности софта ранней монетизации различных сервисов (что у нас началось гораздо позже), поэтому переходили дольше и могли знать больше.
Я, например, прошел мимо ФИДО стороной и почти не заметил, хотя еще в 1988
А вот «молодежи» 2000+ сейчас в сети и тут на хабре — уже огромные толпы.
Напомнило анонсы в ФИДО: "Собирайтесь дети в кучу, я вам чучу заюючу"
Я вот только после этой статьи узнал, что есть такой формат
Кстати исследовать команду пробовал, но лениво. Я обычно догадываюсь, что обманка может быть с двойным дном и обычно не запускаю ничего на полезных машинах. Вот сейчас попробовал раскодировать в онлайн-декодере. Но UUE оказался невалидный, и я решил читать статью дальше :)
Надо подумать, можно ли как-то пошутить над теми, кто раскодирует онлайн…
То есть наличие eval вас не смущает ?
Или по вашему я должен параноидально проверять каждый установочный скрипт?
А если не понимаешь "эту тарабарщину", а софт нужен?
Что запуск в виртуалке покажет? Писюны на всю консоль что ли ?
Потому что программы появляются не из ниоткуда. Скажем, репозиторий дистрибутива содержит программы, проверенные мейнтейнерами.
Другое дело скрипт, который непонятно кем и как написан и где выложен.
habr.com/ru/company/macloud/blog/551990
Все 7 инсталлов предлагают загрузить мне некий sh и запустить его от рута.
Казалось бы, проверь домен, и если ты ему доверяешь — то все ок.
Проблема в том что в 6 из 7 случаев скрипт предлагалось грузить через голый http.
В общем страдает тут безопасность, даже при FQDN, которому вроде как можно доверять
Разница — в проверке подписей при установке из репозиториев. И это ключевое отличие.
Если это инструкция установки с офф сайта, разве есть разница в выполнении этого или скачке бинарника? В обоих случаях то, что происходит не совсем контролируемо.
Уж колько раз бывали взломаны всякие «проверенные сайты™». Нет. Народ жизнь видимо не учит.
Вы, вероятно, про Thompson Hack
А еще есть люди которые запускают (О БОЖЕ) exe скачанные с "яндекса" по ссылке "бесплатно без смс".
Нет, ну что вы, так же ничего не получится. Правильно так:
wget xxx | sudo bash
Так конечно же тоже не сработает. Это же wget, он не передаёт файл в пайп, а сохраняет на диск. При этом текущий каталог может быть запрещён для записи, а сохранённый файл не будет иметь правильных атрибутов для запуска
Вот так правильно:
sudo wget xxx && sudo chmod 777 xxx && sudo ./xxxНо на этом проблемы могут не закончиться. Бывает ведь что при подключении к хосту выскакивает надоедливая ошибка про невалидный TLS сертификат. Поэтому совсем надёжным будет такой способ запуска программы установки:
sudo wget --no-check-certificate xxx && sudo chmod 777 xxx && sudo ./xxxНам некогда тратить время на глупости вроде изучения контента скриптов или исследование проблем с TLS, поэтому нужно заранее учесть все возможные проблемы
Да, действительно, ошибочка вкралась, надо юзать курл:
curl -s xxx | sudo bash
Не совсем, как в лучших рекомендациях, конечно, но зато место на фс не нужно будет.
Скорее всего вы что-то путаете.
Файлы прошивки BIOS не должны монтироваться, более того это адресное пространство должно быть недоступно в пространстве пользователя операционной системы.
Возможно вы имели ввиду монтирование переменных EFI в директорию sys. Но тут тоже, согласно UEFI спецификации, затирание этих переменных не должно быть критическим и при следующем запуске должны установиться значения по умолчанию.
Я в курсе, что был какой-то случай на компьютерах MSI, когда затирание переменных EFI приводило к краху, но это частный случай и ошибка разработчиков прошивок для компьютеров MSI.
Но мне кажется, что вышеобозначеная команда даже не дойдёт до директории sys, а споткнётся о невозможности удалить белочные устройства в /dev. Кроме этого может рано или поздно возникнуть ошибка ядра и далее не удасться породить новый процесс. Дальше только hard reset.
Поэтому ничего опасного, кроме удаления пользовательских файлов эта команда делать не должна.
Ну и ещё всякая мелочь, типа денег со счёта банка, данные карточек, и прочие безделушки :)
Это очень удобно, кстати. Особенно для скриптов, устанавливающих в систему ноду ботнета, например. Будет бекапиться каждую ночь и восстановится если какой-то шутник вдруг пришлёт очередной rm -rf /*
' с ` можно по невнимательности и попутать. А если не попутал, то и про ююки можно не знать :)Какие это трюки? Штатные вещи ж абсолютно. Любой админ это знает.
Сразу видно человека, не заставшего UUE :)
Весь секрет в ``
` в UUE иногда может быть как padding. Тем более, что UUE сейчас видишь редко — начинаешь вспоминать, ага, вот там такое может быть, и размышляя про uue можно и забыть про бэктики в контексте шелла. Социнжиниринг этакий :)
Оно бывает raw без begin — вполне передавали файлы и так (я даже публиковал у себя так что-то короткое бинарное в ЖЖ когда-то), разве что ключик надо указать (на невнимательность/версию утилиты). А набор символов вполне UUE-шный. Для того, кто UUE пользовался минимум несколько лет назад, никаких подозрений.
Раз говорят, что защищено — то надо испытать! Пишу программу на C: while(1) fork(); Запускаю. Компьютер замедлился и постепенно завис, потом начали появляться предупреждающие надписи от ядра. Преподаватель долго просил не нажимать ресет: «Система справится с этим». Не справилась. Минут через 15 пришлось нажать. Преподаватель очень обиделся. Не рекомендую повторять.
Потом он квоты на процессы поставил или что-то ещё сделал, что форк-бомба уже не убивала компьютер.
Видимо препод открыл для себя cgroups. ;-) Хотя… Это какой год-то был?
Так то и вправду странно что от простого пользователя можно убить систему форками.
Хотя если рассказ о временах 90 годов, то тогда линукс без напильника просто был нерабочий из коробки.
Кто-то дал ему адрес 127.0.0.1. Через пару секунд хакер ушёл в оффлайн. Снова появился, жалуется: что-то у него компьютер неожиданно сбился, но сейчас он точно взломает компьютер жертвы! И опять ушёл в оффлайн. Так повторялось несколько раз.
Я думал, это шутка, и рассказывать эту историю как будто она была взаправду несерьёзно.
Ну, 127.0.0.1 — это совсем очевидно. Чтобы охватить более широкую аудиторию, можно использовать адрес типа 127.194.221.93. Это притупит внимание, и человек может не заметить, что первый октет = 127.
:(){ :|:& };: из КПДВ что-нибудь значит? На случайные символы не похоже.
А вот в zsh подсветка синтаксиса от такого спасает.
Спасает. Очень полезная фича. Иллюстрация скриншотом, пожалуй, не помешает.
zsh, powerlevel10k, zsh-syntax-highlighting, KDE/Konsole
0%0
Теперь надо придумать такую команду, которая бы обманывала тех, кто обманывает обманщиков
Ее дочь зовут Помогите! Меня заставляют подделывать паспорта.
r() ( commands )
Не ясно, почему вторая пара скобок тоже круглые
В баше синтаксис объявления функции имеет вид
function_name () { commands }
Т.е. вторые скобки должны быть {}
Но тем не менее, конструкция работает.
* soft nproc 1024
Для любых подобных команд я всегда использую изолированную ВМ на минималках, и не важно, на сколько я её понимаю, на хостовой машине такое запускать моветон.
Обман обманщиков: форк-бомба нового уровня